구체적인 문의 내용
우리회사는 올해 PCI-DSS 인증을 획득하고 그 요구사항에 따라 매년 모의해킹 진단을 받고 있습니다.
그런데, 모의해킹 진단결과에서 웹서버에 HTTPS TLS/SSL Cipher Suite 취약점이 있다고 리포트를 받았는데요
실제 대상 웹 리스너의 상태를 확인해보면 해당 취약점이 없는 것으로 나옵니다. 모의해킹 진단보고서의 대상은 맞고요
말씀하신 내용에 따르면 외부망에서 진행하는 외부 모의해킹 진단 수행 결과로 짐작됩니다.
진단자는 외부망에 위치하여 대상 시스템을 외부자의 입장에서 진단을 수행하는 외부 모의 해킹 진단, 또는 External Penetration Test 로 판단됩니다.
그러면, 이 진단자(외부망에 위치)와 대상 웹사이트의 사이에는 어떤 기술 요소(시스템)이 존재할까요?
기업이나 조직의 인프라 구성에 따라 다르겠지만, 일반적으로 아래와 같은 기술 요소들이 있을 것입니다.
[| 진단자 |] - (인터넷망) ——– 여기부터는조직내부- (라우터)-(스위치)-(웹방화벽)- [|대상 웹사이트 리스너|]
그렇다면, 진단자가 실질적으로 스캔과 같은 진단을 통해 리포팅한 그 HTTPS TLS/SSL Cipher Suite 취약점은 위의 구성에서 어떤 리스너의 취약점 일까요?
웹 방화벽(WAF)은 대부분은 in-line방식으로 웹서버 앞에 위치하는데요, 만약에 웹방화벽이 없는 구성이라면 위의 리포팅 내용이 맞겠죠
하지만, 웹방화벽이 있는 구성이라면 웹 방화벽의 웹리스너가 가지고 있는 취약점을 리포팅한 것으로 보는 것이 맞을 것 같습니다.
그렇다면, 고객님께서 하실일은 웹방화벽의 웹리스너에 그 취약점이 존재하는지 여부를 확인하는 것일 것입니다.
HTTPS TLS/SSL Cipher Suite 취약점을 확인하는 방법에는 몇 가지가 있는데요. 아무래도 TLS/SSL Cipher Suite에 대한 기본지식은 공부가 좀 필요하실 것 입니다.
– nmap의 ssl* 스크립트를 이용해서 스캔하는 방법
– openssl 명령으로 확인하는 방법
– 파이썬 프로그램인 sslyze.py로 확인하는 방법